‍‍FreeBuf报道过，卡巴斯基实验室近日公开承认其公司网络遭APT攻击，而且被入侵长达数月未发现，经卡巴斯基实验室研究人员进一步的研究发现，入侵卡巴斯基和入侵伊朗核问题“六方”会谈承办酒店电脑的都是超级计算机病毒Duqu 2.0，而且其所使用的合法数字证书盗自富士康公司。‍‍Duqu2.0是现今为止最为复杂的蠕虫，广泛应用于各种APT攻击事件中。‍‍‍‍

‍‍本文为安天技术公益翻译组对卡巴斯基实验室发布的《Duqu 2.0技术分析报告》原文翻译，报告的感言与鸣谢章节中有这样三段话：

‍‍

作为一个保持着传统反病毒行业正直而刻板风格的团队，我们对卡巴‍‍‍‍的技术能力与深度一直保持着良好印象。“The Duqu 2.0 Technical Details”让我们看到，无论是技术深度还是直面威胁的勇气，他们依然是业内的榜样厂商。而翻译完这样一篇文档，我们依然会回忆那种技术与逻辑的美感。
他们在报告中写道：“对于一家安全公司来说，最困难的事情之一就是承认自己沦为了恶意软件攻击的受害者。卡巴斯基实验室坚信信息透明的力量，这就是为什么我们在此发布了攻击信息。对于我们来说，用户的安全仍然是重中之重，我们将继续努力以维护您的信任和信心。”
安天市场部的同事曾这样评价：这段话令我们久久不能平静——勇士锋芒来自战场的洗礼，他不会刻意掩盖自己的伤口，更绝不会在伤疤上打上一层粉底，这样的厂商令人肃然起敬。

报告抢先看

‍‍执行摘要‍‍

在今年初的一次安全扫描中，卡巴斯基实验室检测到了一起牵涉多个内部系统的网络入侵行动。

沿着这一发现的线索，我们开展了大规模的调查，进而发现了一个新的恶意软件平台。此恶意软件平台来自最富有技术能力、最神秘也最强大的APT组织中的一员——Duqu。Duqu威胁源在2012年归于沉寂，业界也一度认为Duqu组织已经停止了攻击作业项目，直到最近发生的事件才揭示该组织依然活跃。我们的技术分析表明，在这一轮新的攻击中出现了2011 年臭名昭著的Duqu恶意软件的升级版本（Duqu恶意软件也被称为Stuxnet蠕虫的“继兄弟”）。我们将这一新的恶意软件及其对应的平台命名为“Duqu 2.0”。

在卡巴斯基实验室的攻击案例中，攻击者利用了一个Windows内核中的0 day漏洞（CVE-2015-2360，微软于2015年6月9日修复了该漏洞）以及另外两个目前已被修复的漏洞（当时它们也属于0 day漏洞）。

‍‍初始攻击‍‍

针对卡巴斯基实验室的初始攻击，以我们在亚太区的一个较小规模分支机构的某个员工为目标。Duqu 2.0的初始感染向量目前未知，但是我们怀疑基于电子邮件的鱼叉式钓鱼攻击手段发挥了重要作用。这是因为其中一个“零号病人”（第一批感染源）的邮箱和网络浏览器的记录被清除了，推测其目的是隐藏攻击痕迹。鉴于相关的各台机器都打了完整的安全补丁，我们相信攻击者使用了一个0 day漏洞完成初始攻击。

‍‍Duqu 2.0的受害者‍‍

Duqu 2.0的受害者遍布世界各地，包括西方国家、中东和亚洲地区。攻击作业者出于提高网络能力的目的，不仅攻击了直接针对的最终目标对象，还攻击了对实现其目的有价值的“功利目标对象”。

最值得注意的是，在2014年至2015年的时间段内，恶意代码的一部分新感染对象涉及伊核六方会谈（P5 + 1，译者注：“P5+1”组织成员国包括美国、俄罗斯、中国、英国、法国和德国），以及伊核六方会谈的一些场所。Duqu背后的威胁源似乎倾向于对涉及此类高层次会谈的场所发动攻击。除了伊核六方会谈，Duqu 2.0组织还针对奥斯维辛-比克瑙集中营解放70周年的纪念活动发动了类似攻击。

我们将新攻击的其他类型的目标称为“功利目标对象”，攻击者为了提高自己的网络能力而攻击这些公司。例如，2011年，攻击者攻击了匈牙利的一家证书颁发机构；显然，这使得攻击者能够生成数字证书，进一步为恶意软件样本签名。Duqu 2.0也发动了相同模式的攻击，感染了工业控制系统和工业计算机系统行业的若干公司。                                    

‍‍报告结论‍‍

2011年Duqu发动攻击期间，我们认为其主要目的是刺探伊朗的核计划。一些受害者似乎是“功利目标对象”，如Duqu攻击了匈牙利的一家凭证管理中心，该攻击最终导致了Duqu被发现。Duqu组织攻击这些“功利目标对象”是为了获得技术能力（如利用可信任的证书为其恶意软件签名）或将其作为进一步攻击的平台。

虽然主要的协调器和C&C核心基本保持不变，但是2014/2015版Duqu 2.0大大超越了较早的“Tilded”平台。早在2011年，我们就指出使用Object Oriented C是一种很不寻常的编程技术。虽然2014版添加了C++中的一些新对象，但是仍保持着相同的核心模块。2014年版本使用了升级的编译器，这导致了不同的代码优化。尽管如此，核心模块的功能依然如故，并且我们认为，如果没有原始的Duqu源代码，2014/2015 Duqu 2.0根本无法创建。鉴于这些源代码从未被公开，而且主要目标似乎也没变，我们认为Duqu和Duqu 2.0的幕后黑手是同一伙人。

将卡巴斯基实验室作为目标说明攻击者取得了大踏步的“进步”，同时也标志着网络军备竞赛迅速升级。早在2011年和2013年，RSA和Bit9都遭到了讲汉语的APT组织的攻击，然而，此类事件被认为是罕见的。一般情况下，攻击者将安全公司定为目标需要冒很大的风险，因为他们迟早会被抓住和曝光。虽然攻击者似乎想要获取有关卡巴斯基的未来技术、安全操作系统、反APT解决方案、KSN和APT研究的信息，但是卡巴斯基实验室究竟为什么会被定为目标尚不清楚。

从威胁源的角度来看，将世界级的安全公司定为目标是一项非常艰难的决定。一方面，这意味着攻击一定会被曝光，几乎不可能不被发现。因此，将安全公司定为目标表明：要么攻击者非常自信不会被抓到，要么他们根本不关心是否会被发现和曝光。决定将卡巴斯基实验室定为目标时，Duqu攻击者很可能下了一个巨大的赌注，希望不会被发现并能够继续潜伏。

报告原文

链接: http://pan.baidu.com/s/1sj4xR8D 密码: vfft

本译文译者为安天实验室工程师，本文系出自个人兴趣在业余时间所译，本文原文来自互联网的公共方式，译者力图忠于所获得之电子版本进行翻译，但受翻译水平和技术水平所限，不能完全保证译文完全与原文含义一致，同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。

*翻译：安天实验室（企业账号），原文地址，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）